（计算机应用技术专业论文）应用移动ipv6时的防火墙包过滤研究.pdf

摘要 摘要 由于地址的枯竭，及i p v 4 本身的一些安全设计缺陷，从i p v 4 向i p v 6 的 升级是不可避免而且是迫在眉睫的。 p v 6 除了继承了i p v 4 的一些特性外，还增 加了许多新特性，如“无限”的地址空间，支持安全性和移动性等。预计未来会 有越来越多的无线设备接入i n t e m e t ，移动性成为对互连网的重要期望，因此， 移动i p v 6 作为一种在全球因特网上提供移动功能的方案，将会成为移动通信的 首选。而本地节点移动到外地后与家乡网络的通信给通信链路的安全性以及防火 墙的包过滤带来了新的议题。 本文针对如何保证本地节点移动到外乡链路时与家乡链路通信的透明性，以 及所传输数据的安全性问题，设计了一种对防火墙和移动节点之间的通信进行 i p s e c 处理的方法，以及采用这种方法时防火墙对流入和流出的数据包进行过滤 的模式，最后提出了实现移动i p v 6 包过滤的防火墙的系统框架，并在l i n u x 平 台上给出了试验方案。基于本方案的防火墙解决了i p v 6 下移动节点在外地与家 乡节点之间的通信穿越防火墙的问题，并保证了移动节点与家乡网络之间通信的 机密性，且由于只在防火墙和移动节点之间建立i p s e c 通道，因此消耗系统资源 少，具有较强的实用性。 关键词：i p v 6 ，移动i p v 6 ，i p s e c ，封装安全净载，认证报头，安全关联，防火 墙 广东t 业人学工学硕士学位论文 a b s t r a c t t h eu p g r a d ef r o mi p v 4t oi p v 6i si n e v i t a b l ea n dj u s tc o m i n g ，b e c a u s e o ft h es h o r t a g eo fi p v 4a d d r e s s e sa n dt h es e c u r i t yf l a w so fi p v 4 b e s i d e s s o m ea t t r i b u t e si n h e r i t e df o r mi p v 4 ，i p v 6h a ss o m en e ws p e c i a l it i e s ，s u c h a sl i m i t l e s sa d d r e s ss p a c e ，s e c u r i t ys u p p o r ta n dm o b i l i t ys u p p o r t i n f u t u r e ，m o r ea n dm o r ew i r e l e s se q u i p m e n t sw i l l c o n n e c tt oi n t e r a c ta n d m o b i l i t ys h o u l db et h em o s ti m p o r t a n ta t t r i b u t eo fi n t e r n e t ，s om o b i l e i p v 6w i l lb eap r e f e r r e ds c h e m ew h i c hc a np r o v i d em o b i l ec o m m u n i e a t i o n h o w e v e r ，t h ec o m m u n i c a t i o nb e t w e e nh o m en e t w o r ka n dm o b i l en o t sb r i n g s n e wi s s u et ot h es e c u r i t yo fc o m m u n i c a t i o nl i n ka n dt h ef i r e w a l tp a c k e t f i l t e r i no r d e rt oe n s u r et h es e c u r i t yo fs i g n a la n dt h et r a n s p a r e n c yo f c o m m u n i c a t i o nb e t w e e nh o m en e t w o r ka n dm o b i l en o t s ，w ep r o p o s eas o l u t i o n w h i c hs p e c i f yh o wt ou s ei p s e ct op r o t e c tm o b i l ei p v 6s i g n a l i n gb e t w e e n m o b i l en o d e sa n df i r e w a l la n dh o wt of i l t e rp a c k e t sf l o w i n g t h r o u g h f i r e w a l l w ea l s op r o p o s et h es y s t e mm o d u l ec h a r to ft h ef i r e w a l la n da e x p e r i m e n ts c h e m eb a s e d o nl i n u x f i r e w a l lb a s e do nt h es o l u t i o nc a ns o l v e t h ep r o b l e mw h i c ht h es i g n a l i n gb e t w e e nh o m en e t w o r ka n dm o b i l en o t s c a n n tt h r o u g hf i r e w a l la n de n s u r et h ec o n f i d e n t i a l i t yo fc o m m u n i c a t i o n b e t w e e nh o m en e t w o r ka n dm o b i l en o t s a n db e c a u s et h es o l u t i o n o n l y e s t a b l i s hi p s e ct u n n e lb e t w e e nf i r e w a l la n dm o b i l en o t s ，i tc o n s u m el e s s s y s t e mr e s o u r c ea n di sm o r ep r a c t i c a b l e k e yw o r d s ：i p v 6 ，m o b i l ei p v 6 ，i p s e c ，e s p ，a h ，s e c u r t y a s s o e i a t i o n ，f i r e w a l l 第一章绪论 1 1 论文的研究背景 第一章绪论 由于m t e m e t 的发展迅猛异常，目前广泛使用的口v 4 协泌出现了地址枯竭、 安全缺陷、性能不高和配置复杂等系列的问题，因此，从i p v 4 向i p v 6 的升级 足不可避免的。由于吸取了p v 4 在设计上的缺陷和对未来应用扩展性的考虑， 坤v 6 增强了对移动性的支持，并将p s e c 协议集成到口v 6 协议之中使得p v 6 的 安全性大大增强。随着将来越来越多的无线设备接入m t e m e t 移动性成为对互 连网的重要期望，因此移动口v 6 成为一种在全球因特网上提供移动功能的首选 方案“1 。而对移动节点在移动到外乡链路后与家乡网络及通信节点之间通信的安 全性，以及防火墙如何对移动节点与家乡网络之间数据包进行过滤以保证家乡网 络的安全成为当前研究的一个热点。 1 2 论文的研究意义 防火墙是一种位于内部网络和外部网络之间的网络设备。所有内部网络和外 部网络之间流入流出的通信均要经过此防火墙。防火墙对流经它的网络通信进行 扫描，这样能够过滤掉一些攻击，它还可以防止来自不明入侵者的所有通信。防 火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才可以访问 目标网络。现今，在网络完全问题日益被各类机构重视的情况下，几乎在所有的 本地网在与外网接口的地方都安置有防火墙，以保证本机构所属网络的安全。在 应用移动口v 6 的环境里，可以通过给移动i p v 6 节点添加e s p 头、a h 头或者e s p 头与a h 头的组合，来实现对v 6 数据包的认证和加密。“。但此类数据流在通 过防火墙时，由于涉及到p s e c 加密通道的问题，给防火墙的包过滤功能带来了 挑战。利用现有的移动p v 6 、口s e c 以及相关的成熟技术解决本地节点移动到外 乡链路时与本地链路通信的透明性，以及所传输数据的安全性问题，就具有较强 的理论意义及实际应用价值。 广东工业大学t 学硕士学位论文 1 3 国内外研究历史及现状 1 p v 6 的出现引起了世界重要研究机构和公司的重视。目前i e t f 正在制定大量 的l p v 6 相关标准，包括地址结构、域名解析、安全、自动配置、邻居发现、路由 协议等方面，同时为了对i p v 6 协议特性进行研究并积累l p v 6 组网经验，i e t f 于 1 9 9 6 年建立了全球范围的试验床( t e s t b e d ) ，称作6 b o n e 。6 b o n e 是一个虚拟的网络， 以隧道( m n n d ) 的方式通过基于i p v 4 的互联网实现互联。1 9 9 8 年底，面向实用的全 球。陛l e v 6 研究和教育网( 6 r e n ) 开始启动，建立了物理的以a t m 为中心的l p v 6 洲 际网络。1 9 9 8 年6 月我国国家教育科研网c e r n e t 也加入 6 b o n e ，并于同年1 2 月成为其骨干成员。c e r n e t 建立了p v 6 试验床并在i p v 6 领域在中国开展了许多 开拓性的研究。从1 9 9 9 年底，c e r n e t 与n o k i a 合作，启动t i n t e m e t 6 计划，准备 首先在中国的若干高校搭建i p v 6 网络，形成一个大规模的i p v 6 研究和试验网络。 尽管进展缓慢，但支持i p v 6 协议的产品正逐渐向市场发展。 目前f r e e b s d 、s o l a r i s 、l i n u x 、u n i x 上都已经有了脚6 协议栈的实现，同时 许多大厂商宣称，即将在产品中支持i p v 6 ，如c i s c o 、n o r t e ln e t w o r k s 、s u n 、 m i c r o s o f t 等。c i s c o 路由器操作系统i o s 从版本1 2 1 已开始支持i p v 6 ，并且i o s 的后 续版本将加以改进，提高i p v 6 的性能，而且硬件平台也将采用支持该协议的配置。 m i c r o s o f t 也已经提供了w i n d o w s n t 和w i n d o w s 2 0 0 0 平台的i p v 6 协议栈，并且即 将在其流行的浏览器i n t e m e t e x p l o r e r 中加入脚6 的支持。法国的i n r i a 、r 本的 k a m e 和美国的n r l 等研究机构分别研制了不同平台上的i p v 6 系统软件和应用 软件。更为重要的是，在国际上已经出现了一些商用的i p v 6 网络，如日本的出 和n t t 。应用方面a p a c h e 公司于2 0 0 2 年8 月发布了在任何平台下都可以支持i p v 6 的h t t p 服务器。 对于移动i p v 6 ，在l i n u x 系统中，m i p l ( m o b i l e p v 6 f o r l i n u x ) 是实现移动 i p v 6 的软件模块，该模块前期是由芬兰赫尔辛基技术大学( h u t ，h e l s i n k i u n i v e r s i t y o f t e c h n o l o g y ) 的s o f t w a r e p r o j e c t 项目开发，现在由赫尔辛基大学的通 信与多媒体实验室的g o c o r e 项目组负责后续的开发工作。目前其最高版本 m i p v 6 一1 1 一v 2 4 2 6 ，是基于l i n u x 一2 4 2 6 版本，参照i p v 6 的移动性支持的第2 4 版草 案( r f c 3 7 7 5 ) 实现的。但是m p l 不支持i p s e c h 】。 而针对l p v 6 下的防火墙已经有很多科研机构及厂商作了很多工作。口v 6 包过 2 第一章绪论 滤在思科路由器中已经提供，思科在2 0 0 2 年1 1 月提供延伸的a c l 在他们的i o s 当 中。并且正在开展i p v 6c b a c ( c o n t e x tb a s ea c c e s sc o n t o r l ) 与c i s c op l x 防火墙的 开发工作。一些f j 本的厂商，例如日立以及j u n i p e r n e t w o r k s 的路由器产品也支持 i p v 6 过滤。c h e c k p o i n t 在2 0 0 2 年九月也宣布他们准备要提供i p v 6 的防火墙。 另外在开放源码防火墙中也开始处理i p v 6 防火墙过滤，l i n u x 核心已经包含 了能够过滤i p v 6 的n e t f i l t e r 套件。不过这个过滤器只有基本的过滤，并没有状态 过滤。在b s d 这边，o p e n b s d 系统的封包过滤器已经比较完备，不过针对i p v 6 扩展头的处理还没有。一个u n i x 用过的过滤套件i p f i l t e r ，用s a i l 、s o l a r i s 、f r e e b s d 之中的过滤器，也能做l p v 6 的封包过滤，不过不能在这些封包上做状态过滤。 1 4 论文的组织以及主要工作 1 本文的主要工作包括以下几点： ( 1 ) 研究与i p v 6 协议及i p v 6 对移动性的支持的相关的r f c ，熟悉移动i p v 6 的操作过程、对i p v 6 节点的要求以及移动i p v 6 的安全性。 ( 2 ) 研究i p s e c 协议相关的r f c 。深入了解i p s e c 协议的架构、a h 头、e s p 头的协议内容及其在移动i p v 6 中的使用。 ( 3 ) 研究防火墙的工作原理及防火墙的几种包过滤方法。 ( 4 ) 设计一种用以对防火墙与移动节点之间通信流进行加密的i p s e c 处理 过程并提出一种防火墙模型用于解决本地节点移动到外乡链路时与本 地链路通信的透明性，以及所传输数据的安全性问题。 2 本文的章节和内容安排如下： 第一章绪论，介绍本论文的研究背景、研究意义、研究历史及现状； 第二章介绍i p v 6 协议、移动i p v 6 的新特性及其操作过程； 第三章介绍移动i p v 6 对安全性的支持； 第四章介绍防火墙技术基本概念、实现原理，主要功能模块和分类； 第五章详细分析针对移动i p v 6 的数据包进行过滤的防火墙设计时存在的问 题、并提出解决方案。 最后是结论与展望，对本文研究的技术进行展望和总结。 广东工业人学工学硕上学位论文 第二章lp v 6 协议及其移动性支持 2 1ip v 6 协议概述 与i p v 4 相 e i p v 6 中的变化体现在以下五个重要方面： 1 扩展地址 i p v 6 地址长度由i p v 4 的3 2 位扩展至u 1 2 8 位，地址长度的扩展意味着i p 可以继 续增长而无需考虑资源的匮乏。i p v 6 的地址结构还对i p 主机可能获得的不同类型 地址作了一些调整。i p v 6 中取消了广播地址而代之以任意点播地址。i p v 4 中用于 指定一个网络接口的单播地址和用于指定由一个或多个主机侦听的组播地址基 本不变。1 。 2 简化的包头 i p v 6 使用了固定格式的包头并减少了需要检查和处理的字段的数量，这将使 得选路的效率更高。i p v 6 的报头格式如图2 1 所示。 版本号 优先权 版本号 有效载荷长度下一个报头跳数极限 源地址 目的地址 | 璺| 2 - 1i p v 6 报头结构 f i g2 - 1f o r m a t o f i p v 6h e a d e r 3 对扩展和选项支持的改进 在i p v 4 中可以在i p 头的尾部加入选项，与此不同，i p v 6 中把选项加在单独的 扩展头中。通过这种方法，选项头只有在必要的时候才需要检查和处理。i p v 6 的扩展头有逐跳选项头、路由头、分段头、目的地选项头和移动报头等。 4 流 在i p v 4 中，对所有包大致同等对待，这意味着每个包都是由中问路由器按照 自己的方式来处理的。路由器并不跟踪任意两台主机间发送的包，因此不能“记 住”如何对将来的包进行处理。i p v 6 实现了流概念，其定义如r f c 2 4 6 0 中所述： 流指的是从一个特定源发向一个特定( 单播或者是组播) 目的地的包序列，源点希 望中间路由器对这些包进行特殊处理。路由器需要对流进行跟踪并保持一定的信 d 第二章小v 6 协议发其移动性支持 息，这些信息在流中的每个包中都是不变的。这种方法使路由器呵以对流中的包 进行高效处理。对流中的包的处理可以与其他包刁i 同，但无论如何，对于它们的 处理更快，因为路由器无需对每个包头重新处理。 5 ，身份验证和保密 i p v 6 协议整合了i p s e c l ；| j 、议，通过使用验证头( a h ) 和封装安全净衙( e s p ) 两种扩展报头来满足对i p v 6 通信流的安全要求。本文的设计即采用e s p 对i p v 6 数 据流进行保护。 6 支持移动性 i p v 6 支持移动性，允许任何对等点到移动结点的直接路由。为手机上网提供 了良好的协议平台和许多增值特性，将成为全球移动i p 的基础。 2 2 移动i p 技术简介 移动i p 的主要设计目标就是移动节点在改变网络接入点时，不必改变其i p 地 址，能够在移动过程中保持通信的连续性，对上层协议保持透明性，与其他移动 节点或不具有移动i p 功能的节点能够进行正常的通信。 1 移动l p 定义了三种必须实现移动协议的功能实体： 移动节点( m o b i l en o d e ) ：是指从一个网络或子网络链路上切换到另一 个网络或子网得主机或者路由器。移动节点可以改变它得网络接入点， 但不需要改变i p 地址，并且使用原有的i p 地址能够继续与其他节点通信。 家乡代理( h o m ea g e n t ) ：是指位于移动节点家乡链路上的路由器。当 移动节点离开家乡网络时，它负责把发往移动节点的分组通过隧道转发 给移动节点，并且维护移动节点当前位置的信息。 外地代理( f o r e i g na g e n t ) ：是指位于移动节点所访问网络上的路由器， 为注册的移动节点提供路由服务。它接收移动节点的家乡代理通过隧道发 来的报文，进行拆封后发给移动节点；对于移动节点发出的报文，外地代 理提供类似默认路由器的服务。 5 耋三些查兰三兰堡圭兰竺耋兰 在外地链路| ；奇 移动节点 圈2 - 2 移动i p 网培拓扑圈 f i 9 2 - 2 t h e t o p o l o g y o f m o b l i e 母h o s t s 2 移动f p 的两个常用术语： 家乡地址( h o m ea d d r e s s ) ：是指每个移动节点在家乡链路上拥有的一 个“长期有效”的i p 地址。对这种地址的管理类似对固定主机i p 地址的 管理。 转交地址( c a r e - o f a d d r e s s ) ：是指当移动节点离开家乡链路后，它被 赋予的反映当前链路接入点的临时地址。 3 移动i p 的工作机制如下所述： ( 1 ) 家乡代理和外地代理周期性地在一条或多条它们作为移动代理地链 路上，组播或广播代理通告。 ( 2 ) 移动节点根据收到的代理通告消息，判断它是在家乡链路上或是在 外地链路上。 ( 3 ) 当移动节点连接在外地网络时，可以通过从外地代理通告消息中获 得外地代理转交地址。 ( 4 ) 移动主机获得转交地址后，通过移动i p 定义的消息向家乡代理请求 注册。 ( 5 ) 家乡代理通过a r p 协议来截取发向移动节点家乡地址的分组。 ( 6 ) 家乡代理根据分组的i p 目的地址查找绑定缓存，获得移动节点注册 的转交地址，然后通过隧道发送分组到移动节点的转交地址。 ( 7 ) 通信对端发送的分组通过移动节点的家乡代理转发给移动节点，移 第章p v 6 特议发其移动性支持 动节点的分组直接发送给通信对端“1 。 2 3 移动ip v 6 相对移动ip v 4 的改进 移动i p v 6 协议继承了移动i p v 4 协议的众多特性，也借用了许多移动i p v 4 的 概念，包括移动节点、家乡代理、家乡地址和转交地址，但是移动i p v 6 中没有 了外地代理和外地代理转交地址的概念。移动i p v 6 的设计吸取了移动i p v 4 协议 开发的经验，集合了i p v 6 协议的许多新特性，有了许多显著的改进。 1 由于i p v 6 具有巨大的地址空间，每个移动节点在任何访问的外地网络上 都能获得一个全球唯一的口地址，不需要使用外地代理转交地址，且移动节点 可以使用路由器通告、无状态或有状态地址配置方式自动获得和配置转交地址， 无须夕 地网络潞由器提供特别的功能支持，因此不存在外邀代理。 2 ，移动i p v 6 允许移动节点在通信对端上绑定移动节点的当前转交地址和家 乡地址，称为“通信对端绑定”。当1 p v 6 节点发送分组时，如果绑定缓存包含这 个目的地址，就使用i p v 6 第二类路由头把数据分组发送到绑定指定的转交地址， 无需通过家乡代理中转，避免了三角路由，实现了路由优化。 3 ，移动l p v 6 中家乡代理使用l p v 6 协议的邻居发现机制截取在家乡网络上发 给移动节点的分组，相对于移动i p v 4 中使用的a r p 协议，无需关心链路层的特 定情况，提高了鲁棒性，简化了实现。 4 移动l p v 6 定义了家乡代理地址动态发现机制，移动节点向目的地址为家 乡子网前缀的移动珏6 家乡代理泛播地址发送一个i c m p v 6 的家乡代理地址发 现请求消息以获得家乡代理的全球碑地址列表。 5 移动i p v 6 位目的地扩展报头定义了一个称为“家乡地址选项”的新选项， 又定义了称为“第二类路由头”的新的口v 6 扩展报头选项。通过它们，6 分 组能穿过使用了“入境过滤”安全策略的防火墙，并使得防火墙能够对移动i p v 6 分组和源路由分组使用不同的规则。 6 ，在移动i p v 6 中，移动节点和家乡代理之间维护一种安全关联，通过使用 a h 头或者e s p 头保护它们之间的信令完整且满足一定的顺序规则。同时，为在 通信对端上进行绑定专门定义了返回路径可达过程。 总结以上移动i p v 6 的变化和特点，我们可阻看出i p v 6 提供了很好的移动性 ! ：耋三些查兰：；耋竺占兰兰鎏兰 支持，其功能实体简单可行。 2 4 移动lp v 6 协议的操作过程 2 。4 ，1 概念性数据结构及其管理 移动l p v 6 协议为其主要的功能实体移动节点、家乡代理及通信对端等定义 了一些概念性数据结构，包括绑定缓存、家乡代理列表和绑定更新列表等。 1 通信对端维护的数据结构 通信对端应该为自己的每个p 地址都维护一个包含其他节点信息的数据结 构，称为绑定缓存。发送数据分组时，通信对端首先根据分组的目的地址搜索绑 定缓存，然后才搜索邻居发现定义的目的缓存。 每一个绑定缓存表项包括以下字段： ( 1 ) 移动节点的家乡地址：该字段是检索绑定缓存的关键字，如果待发送 数据分组的目的地址与某绑定缓存表项的本字段匹配，那么，应该使用此表项中 的信息进行发送； ( 2 ) 移动节点的转交地址：该字段将用做满足上述匹配的待发送数据分组 的目的地址； ( 3 ) 生存期；该字段指示缓存表项的剩余生存期； ( 4 ) 指示是否为“家乡注册”的标志位； ( 5 ) 顺序号字段：通信对端可能收到来自同一移动节点的多个绑定更新消 息，本字段存放所有这些消息中顺序号字段的最大值： ( 6 ) 表项最近的使用情况：主要用于缓存替换策略。 2 家乡代理维护的数据结构 家乡代理节点必须维护绑定缓存和家乡代理列表。其中家乡代理列表中记录 的是本家乡代理所服务的链路上的所有家乡代理的信息，它将用于动态的家乡代 理地址发现机制( 详见2 4 4 节) 。 家乡代理应该为它所服务的每一条链路各维护一个家乡代理列表。 每一个家乡代理列表表项包括以下字段： ( 1 ) 家乡代理的链路局部m 地址； ( 2 ) 家乡代理的一个或多个全球地址； 量三塞! ! = 2 垫堡丝圣墼鎏兰童垄 一： ( 3 ) 剩余生存期； ( 4 ) 家乡代理的优选值：优选值大表示该家乡代理更适合。在动态的家乡 代理发现机制中，家乡代理使用这些优选值为 c m p 家乡代理地址发现消息中的 家乡代理列表排序。 3 ，移动节点维护的数据结构 移动节点必须维护绑定更新列表，记录本移动节点发出的所有绑定更新。对 于一个日标节点，只记录最近发出的那条绑定更新的信息。 每个绑定更新表项包括以下字段： ( 1 ) 目的节点的m 地址； ( 2 ) 移动节点的家乡地址； ( 3 ) 移动节点的转交地址：移动节点可以使用该字段判断它移动到新的位 置之后是否已向这个通信对端发送了绑定更新； ( 4 ) 绑定更新指定的初始生存期值； ( 5 ) 绑定的剩余生存期值； ( 6 ) 历史上向该目的节点发送的所有绑定更新的最大顺序号； ( 7 ) 上次向该目的节点发送绑定更新的时间； ( 8 ) 绑定更新的重传状态； ( 9 ) 指示将来是否向该目的节点发送绑定更新的标志位。 绑定更新列表的表项也包括与返回路径可达过程相关的数据，它们只与发送 给通信对端的绑定更新相关。主要是： ( 1 ) 上次向该目的节点发送h o t i 或c o t 消息的时间标记，用于限制返回 路径可达过程中消息的发送速度； ( 2 ) 返回路径可达过程所需要的消息重传状态，包括距离下次重传的时问 和当前的指数后退状态等； ( 3 ) h o t i 和c o t i 消息使用的移动c o o k e 值； ( 4 ) 来自通信对端的家乡和转交密钥生成令牌： ( 5 ) 来自通信对端的家乡和转交临时数索引； ( 6 ) 上述c o o k i e 与令牌的收到时间。 广东丁业大学丁学硕士学位论文 2 4 2 移动检测过程 在移动l p v 6 草案中定义的移动检测机制主要是利用i p v 6 的邻居发现机制 ( 包括路由发现和邻居不可达检测) 。 移动节点可以通过检查当前默认路由器是否可达来判断自己是否发生了移 动。使用路由发现机制定义的路由器通告消息，移动节点可以发现新的路由器和 新的“链路在线子网前缀”( o n - l i n ks u b n e tp r e f i x ) 。根据收到的路由器通告消息 的内容，移动节点在默认路由器列表中未每个路出器维护一个表项，在前缀列表 中为每个链路在线子网前缀维护一个表项。 离开家乡后，移动节点从默认路由器列表中选择一个路由器作为它的默认路 由器，并从前缀列表中选择此路由器的一个子网前缀形成主转交地址( p r i m a r y c a r e o f a d d r e s s ) 。移动节点将把它的主转交地址注册到家乡代理。 2 4 3 转交地址的形成过程 移动i p v 6 允许移动节点同时拥有多个转交地址，其中一个称为“主转交地 址”。在任何时候，移动节点都只能有一个主转交地址，并且把这个地址注册到 家乡代理。移动节点可以根据当前链路上的某些或全部子网前缀形成其他转交地 址。 类似于i p v 6 的地址自动配置机制，移动节点通过无状态或有状态的地址自 动配置机制生成转交地址。由于在当前链路上可能存在多个可用的予网前缀，或 者存在多条可用的链路( 比如在某些无线环境下) ，移动节点可以通过自动配置 得到多个转交地址，它从中选择一个作为主转交地址。移动节点形成新的转交地 址之后，可以对这个新地址进行重复地址检测( d a d ，d u p l a c a t e da d d r e s s d e c t e c f i o n ) ，确认它的唯一性。 2 4 4 自动发现家乡代理的地址 离开家乡的移动节点进行家乡注册时，可能不知道家乡链路上哪个路由器正 在提供家乡代理服务。这种情况下，移动节点可以使用动态家乡代理地址发现机 制去探测家乡链路上家乡代理的地址。该机制主要使用i c m p 家乡代理地址发现 l o 第二章i p v 6 协泌及其移动性支持 请求消息和i c m p 家乡代理地址发现应答消息。 移动节点进行动态家乡代理地址发现时，首先向其家乡子网前缀所对应的移 动i p v 6 家乡代理泛播地址，发送一个i c m p 家乡代理地址发现请求消息。这个 消息分组的源地址是移动节点的转交地址，且不包含家乡地址选项。 0 81 62 4 3 2 i类型编码 校验和 l标志符保留位 闰2 - 3i c m p v 6 家乡代理地址发现请求消息的格式( 类型= 1 5 0 ) f 9 2 - 3 i c m p h o m e a g e n t a d d r e s s d i s c o v e r y r e q u e s t m e s s a g e f o r m a t ( t y p e = 1 5 0 ) 收到上述请求消息的家乡代理，应该给移动节点回送一个i c m p 家乡代理地 址发现应答消息，消息分组的源地址为家乡代理的一个全球单播地址。消息中给 出了家乡链路上所有家乡代理的地址列表。 收到i c m p 家乡代理地址发现应答消息后，移动节点从中选择“最受推荐” 的家乡代理进行家乡注册。 08 1 62 43 2 类型编码 校验和 标志符 保留位 保留位 家乡代理地址列表 图2 - 4i c m p v 6 家乡代理地址发现应答消息豹格式( 类型= 1 5 1 ) f i g 2 - 5i c m ph o m e a g e n t a d d r e s sd i s c o v e r yr e p l ym e s s a g ef o r m a t ( t y p e = 1 5 1 ) 2 4 5 家乡网络前缀的自动配置 移动节点的家乡网络进行重新配置后，它当前的家乡网络前缀可能不再有 效。移动i p v 6 提供了一种机制允许移动节点自动配置家乡网络前缀。 当移动节点发现家乡地址即将失效时，会向家乡代理发送移动前缀请求，申 请新的前缀信息。家乡地址生存的时间最大值来自家乡代理的移动前缀通告。对 ：，l ；三些：! ；l2 ：i 塞! ；： 一一 于请求前缀的分组，移动节点必须使用家乡地址选项携带家乡地址，而且应该使 用i p s e c 保护这些分组。 0 81 62 43 2 l类型 编码校验和 标志符 保留桡 图2 - 5i c m p v 6 移动前缀请求消息的格式( 类型= 1 5 2 ) f i g2 - 5i c m p m o b i l ep r e f i xs o l i c i t a t i o nm e s s a g ef o r m a t ( l c p e = 1 5 2 ) 家乡代理接收到前缀请求消息之前，应该周期性地向移动节点发送非请求的 移动前缀通告消息。对于应答前缀请求消息的分组，家乡代理在接收到来自移动 节点的“确认消息”之前，应该重传前缀通告消息。由于移动节点接收后通常会 根据其信息配置新的家乡地址而重新注册，家乡代理可以把来自移动节点的绑定 更新消息当做移动节点对应答的前缀通告的“确认消息”，进而停止重传。 081 6 2 4 3 2 l类型编码校验和 l标志符可选项 图2 - 6i c v l p v 6 移动前缀通告消息的格式( 类型= 1 5 3 ) f i g2 - 6i c m p m o b i l ep r e f i xa d v e r t i s e m e n tm e s s a g ef o r m a t ( t y p e = 1 5 3 ) 2 4 6 移动节点和家乡代理的绑定管理 1 移动节点向家乡代理发送绑定更新 081 6 2 4 3 2 顺序号 11 】i 保留生存期 移动选项 图2 7 绑定更新消息数据字段的格式 f i g2 - 7b i n d i n gu p d a t em e s s a g ef o r m a t 移动节点决定使用新的主转交地址时，必须向家乡代理发送绑定更新，在家 第二章w v 6 协议及其移动性支持 乡代理上对它进行注册。另外，如果移动节点希望使用该转交地址的时间超过了 上次注册的绑定生存期，它也需要向家乡代理发送绑定更新。 移动节点按照下述规则构造携带绑定更新的分组： ( 1 ) 分组必须包含家乡地址选项，向家乡代理提供绑定的家乡地址； ( 2 ) 分组i p v 6 头中的源地址必须设置为绑定的转交地址，但当绑定更新选 项中包含备用转交地址选项时，可以设置为其他地址； ( 3 ) 绑定更新选项的顺序号字段应该设置为移动节点所保存的、在上次成 功的绑定中使用的顺序号的后续值； ( 4 ) 分组中绑定更新选项的家乡注册位( h ) 必须为1 ； ( 5 ) 分组中绑定更新选项的确认位( i - i ) 必须为l ： ( 6 ) 如果需要请求家乡代理为移动节点基于链路上子网前缀构造的所有家 乡地址都提供服务，则必须清除绑定更新选项的s 位，并且设置l 位；相反， 如果移动节点希望这个绑定更新只影响一个家乡地址，则应该设置s 位，并且在 随后的关于该家乡地址的注册，注销消息中都设置s 位： ( 7 ) 如果移动节点在绑定更新中提供的家乡地址与其链路局部地址有相同 的前缀，则它应该设置l 位； ( 8 ) 如果移动节点的家乡地址是通过无状态的自动配置获得的，那么它的 链路局部地址的借口标示符可能不兼容，这时移动节点必须设置s 位并清除l 位： ( 9 ) 生存期字段应该小于或等于绑定中家乡地址和转交地址的剩余生存期 值。 移动节点使用备用转交地址选项一般是为了保证绑定更新的安全。如果移动 节点不能确定是否可以使用i p s e c a h 协议保护绑定更新，则必须使用这个选项； 此外，e s p 协议不能保护i p v 6 报头中的转交地址。因此如果实现移动i p v 6 时不 知道节点中i p s e c 协议的实现机制，就需要使用备用转交地址选项。 2 ，家乡代理接收绑定更新 节点在接收到注册主转交地址的绑定更新后，首先进行下列检验。 ( 1 ) 如果本节点不具有家乡代理功能，则必须拒绝这个绑定更新，并向移 动节点回送一个状态字段为1 3 2 的绑定确认( 表示接受者不支持家乡注册) 。 ( 2 ) 如果家乡代理查阅前缀列表后发现绑定更新中的家乡地址不是一个“链 广东工业大学t 学硕士学位论文 路在线”( o n l i n k ) 的i p v 6 地址，它必须拒绝这个绑定更新，并给移动节点回送 个状态字段为1 3 3 的绑定确认( 表示不是家乡子网) 。 ( 3 ) 如果家乡代理出于其他任何原因拒绝这个绑定更新，它也必须给移动 节点回送一个在状态字段中指示了拒绝原因的绑定确认。 ( 4 ) 消息中必须包含家乡地址选项。 ( 5 ) 如果绑定更新中设置了重复地址检测位( d ) ，家乡代理必须在家乡链 路上进行重复地址检测，在回送绑定确认前检查家乡链路上是否存在与家乡地址 重复的链路局部地址。 对于通过了上述检验的绑定更新，家乡代理会根据其内容为移动节点创建或 者更新绑定缓存表项，同时把该表项标记为“家乡注册”。对于标记为家乡注册 的绑定缓存项，不能应用绑定缓存替换策略，在生存期超出前不能删除。 另外，当家乡代理为某个移动节点提供家乡代理服务时，必须能够在家乡链 路上截取发给移动节点的分组。 081 6 2 43 2 状态保留 顺序号生存期 移动选项 图2 8 绑定确认消息数据字段的格式 f 蟾2 - 8b i a d i 堪a c k n o w l e d g e m e n tm e s s a g ef o r m a t 3 移动节点注销主转交地址 移动节点回到家乡时，会给家乡代理发送请求注销的绑定更新，把其中的生 存期字段设置为0 ，或者把转交地址设置为家乡地址。对于合法的绑定更新，家 乡代理必须删除绑定缓存中任何相关的表项，并项移动节点应答绑定确认。此外， 家乡代理必须停止在家乡链路上截取发给移动节点的分组。 2 ，4 7 移动节点和通信对端的绑定管理 建立通信对端绑定的目的是为了支持在移动节点和通信对端之间通信的路 由优化。通信对端绑定过程的发起和结束都由移动节点负责。在完成家乡注册、 1 4 第= 章l p v 6 协议及其移动性支持 确保了家乡地址的有效性之后，移动节点在任何时候都可以向通信对端发送绑定 更新，使其缓存移动节点当前的绑定。 考虑到在通信对端建立绑定的安全性，在发起通信对端绑定过程以前，移动 节点需要启动一个返回路径可达过程，检查通信对端是否可以通过家乡地址和转 交地址访问自己，以及是否可以创建必要的绑定管理密钥。 如果移动节点在绑定更新中给出的转交地址是自己的家乡地址，或者把生存 期字段设置为0 ，则表示它要求通信对端从绑定缓存中删除任何关于自己的绑定。 移动节点向家乡代理发送注册新主转交地址的绑定更新时，应该也向存在于 其绑定更新列表中其他节点发送绑定更新，刷新移动节点在这些节点上的绑定， 从而允许它们使用转交地址直接给移动节点发送分组。 2 4 8 移动节点的绑定管理 收到携带绑定确认的分组后，移动节点根据下述规则检查其有效性： ( 1 ) 分组满足绑定确认的认证要求，即来自家乡代理的绑定确认必须含有 i p s e c 保护，来自通信对端的绑定更新必须含有绑定授权数据选项； ( 2 ) 如果分组报头中存在绑定授权数据选项，它必须是最后一个移动选项； ( 3 ) 绑定确认选项的选项长度字段大于或等于指定的长度值； ( 4 ) 顺序号字段与移动节点发送的绑定更新中顺序号相匹配。 移动节点必须不做任何处理地忽略任何不满足上面规则的绑定更新，继续处 理分组的其他部分。 移动节点收到有效的绑定确认后，首先按照下述规则检查其中的状态字段： ( 1 ) 如果状态字段指明绑定更新已经被接受( 值小于1 2 8 ) ，那么移动节点 必须更新它的绑定更新列表中的对应项，以指示该绑定更新已经被确认，另外， 也应该停止对该绑定更新的重传过程。 ( 2 ) 如果状态字段指明绑定更新被拒绝( 值大于1 2 8 ) ，那么移动节点必须 删除相应的绑定更新列表表项，并且停止重传该绑定更新。 移动节点接收到包含绑定刷新请求的分组时，应该给发送者应答一个包含绑 定更新的分组，并且把生存期字段设置为耨的生存期，增加上次发送的绑定更新 的剩余生存期值，但新值不能超过主转交地址在家乡代理上二注册的剩余生存期。 广东工业大学丁学硕士学位论文 2 4 9 分组通信 在所有节点的分组处理动作中，都首先包括一个对移动报头的合法性检验过 程( 移动报头数据格式如图3 7 ) 。合法的移动报头必须满足下面三个条件： ( 1 ) 移动报头类型字段是一个已知的值； ( 2 ) 载荷协议字段的值必须是i p p r o t o _ n o n e ( 5 9 ) ； ( 3 ) 检验和正确。 节点丢弃不满足第一个条件的分组，并且向发送者应答一个状态字段值为2 的绑定错误( b e ) 消息；节点必须“安静地”丢弃不满足后面两个条件地分组。 移动报头消息有两种，一种用于返回路径可达过程，一种用于绑定管理。 081 62 43 2 载荷协议报头长度报头类型保留 校验和消息数据 消息数据 图2 9 移动报头的格式 f i g 2 - 9m o b i l eh e a d e rf o m a t 1 家乡代理对数据分组的截取 离开家乡的移动节点，与没有建立绑定的通信对端进行通信时，必须通过家 乡代理中传。家乡代理在接收了移动节点的家乡注册后，必须在移动节点的家乡 链路上截取发给该移动节点的分组，对它们进行i p v 6 封装，然后通过隧道转发 到移动节点的转交地址。 为了在家乡链路上截取发给移动节点的分组，家乡代理必须向家乡链路组播 发送关于移动节点的邻居通告消息，使得所有发向移动节点家乡地址的分组都被 藿定向到家乡代理。 在具体发送这些邻居通告消息前，家乡代理首先检查相应绑定更新消息中的 s 位，如果非0 ，这些邻居通告只针对本绑定指定的那个家乡地址，否则，它们 也针对通过家乡代理支持的前缀形成的所有家乡地址。对于由此确定的每一个i p 地址，家乡代理都向“所有节点”组播地址发送邻居通告消息，为该伊地址通 告家乡代理自己的链路层地址。 第章l p v 6 协议及其移动性支持 家乡代理发送完按照上述规则构造的邻居通告后，可以确保家乡链路上任何 节点都更瓤了邻居缓存，在移动节点的家乡地址和家乡代理的链路层地址之间建 立关联。这些动作完成之后，根据i p v 6 协议的定义，所有发向移动节点家乡地 址的分组都会到达家乡代理，家乡代理就可以通过隧道把它们发送到移动节点注 册的主转交地址。 2 移动节点和家乡代理之间的隧道通信 家乡代理作为源发送者发向移动节点的任何分组，都是使用路由头把分组路 由到绑定缓存中移动节点的转交地址，也就是移动节点主转交地址，不需要隧道。 家乡代理使用隧道技术向移动节点发送被它截取的发向移动节点家乡地址的分 组。家乡代理首先对每一个截取的分组进行i p v 6 封装，然后，通过隧道转发给 移动节点：隧道的入口是家乡代理的地址，出口则是移动节点的主转交地址。家 乡代理对截取的分组进行封装时，在隧道职报头的源地址字段填入自己的口地 址，在目的地址字段填入移动节点的主转交地址。移动节点对隧道头进行解封装 处理后，可以得到发到其家乡链路的原